随着时间的推移，COSO发布了许多附加性的指南文件，对1992年版《内部控制——整合框架》进行细化。2010年，COSO委员会正式启动了对1992年版《内部控制——整合框架》的修订项目，于2011年12月发布征求意见稿，最终于2013年5月正式发布。

2013年版《内部控制——整合框架》结合新的商业和经营环境，反映企业内部控制框架体系的新变化、新思维，以适应更为复杂的控制链条，更好地实现多元共治，驱动企业战略，更好地利用IT新技术成果。其最大的变化体现在结构设计上，着重强调原则导向，并设置了若干重点关注点，目的是增强实操性。此外，还扩大了报告目标的类别，将财务报告以外的其他外部报告，以及包括财务与非财务报告在内的内部报告纳入指导范围。相比而言，1992年版《内部控制——整合框架》仅局限于对外财务报告。

总的来说，2013年版《内部控制——整合框架》可以概括为：1个定义、3类目标、5大要素、17项原则和82个关注点。由于2013年版《内部控制——整合框架》继承了原框架中关于内部控制的定义，对于内控要素、目标、有效性的评价标准也基本上沿用原框架的观点，因此，2013年版《内部控制——整合框架》通常被看作是1992年版《内部控制——整合框架》的升级版。(www.daowen.com)

2004年版《企业风险管理——整合框架》发布至今已有十几年。在这十几年间，风险的复杂性发生了重大变化，由于新环境、新技术的不断演变，新的风险也层出不穷，基于风险导向的COSO理念逐渐兴起并将成为主流，渗透到企业管理的方方面面。在此前提下，COSO在2014年启动了对《企业风险管理——整合框架》的修订工作，并委托普华永道会计师事务所着手进行框架的更新。这项计划旨在于日益复杂的商业环境中提高企业风险管理的相关性，反映风险管理理论和实践的新发展，以便从风险管理中获得价值的提升。2017年9月，COSO正式发布了一份名为《企业风险管理——与战略和业绩的整合》(Enterprise Risk Management —Integrating with Strategy and Performance)的报告文件。《新企业风险管理——整合框架》不是对原有框架的简单升级，而是大刀阔斧地重构与变革，并将其目标定在为包括企业在内的ERM主体提供一个“管理框架”，而非“控制框架”。与《企业风险管理——整合框架》相比，《新企业风险管理——整合框架》在以下多个方面进行了优化：①应用要素和原则的编写；②简化企业风险管理的定义；③强调风险和价值的关联性；④重新审视《企业风险管理——整合框架》所关注的焦点；⑤检验关于文化在风险管理工作中的定位；⑥提升对战略相关议题的研讨；⑦增强绩效和企业风险管理工作的协同效应；⑧体现风险管理支持企业更加明确地做出决策；⑨明确企业风险管理和内部控制的关系；⑩优化风险偏好和风险承受度的概念。没有变化的部分是保留了“企业风险管理——应用技术”的内容，风险管理工作者仍然可以使用2004年发行的ERM相关工具和技术。

《新企业风险管理——整合框架》着重强调了企业风险管理对战略规划和提升绩效的重要意义，认为风险管理应嵌入整个组织，并指出风险不但来自执行层面，也来自战略制定和战略驱动。它摒弃了1992年版《内部控制——整合框架》的八要素设计，并借鉴了2013年版《内部控制——整合框架》中应用的要素和原则来编写结构，在五要素下分别列示了20项原则，这些要素和原则贯穿企业战略、绩效和价值提升。